Die Vorstellungen von Datenschutz gehen in der EU und den USA traditionell ziemlich auseinander. Der Umstand, dass die bedeutendsten Dienste in der EU allerdings dennoch aus den USA kommen, sorgte in den letzten Jahren dafür, dass Websitebetreibende diese Tools zumeist rechtswidrig einsetzten. Hat das jetzt endlich ein Ende?
Wer in der EU bisher US-Tools sowie US-Dienste wie beispielsweise Google Analytics, die Amazon Web Services (AWS), YouTube, Skype, WhatsApp oder auch das Amazon Partnerprogramm kommerziell nutzte, übertrug zwangsläufig – ohne dies beeinflussen zu können – Daten seiner Zielgruppe in die USA. Das sorgte besonders bei Websitebetreibenden in den letzten Jahren für große Unsicherheit und das mit Recht.
Das Problem: Dieser Datentransfer war spätestens nach dem Scheitern des sogenannten (ersten) EU-US Privacy Shield rechtswidrig und damit der Einsatz dieser Tools. Selbst dann, wenn über ein Cookie-Consent-Banner die Einwilligung zum Datentransfer durch die Besucherinnen und Besucher der eigenen Website eingeholt wurde, war dies der Fall. Nicht wenige Websitebetreibende nutzten die entsprechenden US-Dienste dennoch weiter und riskierten so teure Abmahnungen oder Bußgelder.
Bringt der Privacy Shield 2.0 jetzt die Wende?
Am 10.07.2023, also vor gut vier Wochen, trat der neue transatlantische Datenschutzrahmen (Data Privacy Framework Program) oder auch Privacy Shield 2.0 genannt, offiziell inkraft. Auf diesen haben sich die EU-Kommission sowie die USA nun geeinigt und vereinbarten darin – vereinfacht ausgedrückt – bestimmte Rahmenbedingungen sowie ein „angemessenes Datenschutzniveau“ im Vergleich zur EU. Die Grundvoraussetzung dafür, dass Unternehmen jetzt wieder absolut rechtssicher auf US-Dienste zurückgreifen dürfen, ist, dass deren Unternehmen wiederum an diesem Datenschutzabkommen auch tatsächlich teilnehmen.
Um dies zu gewährleisten, muss das entsprechende US-Unternehmen (etwa Amazon, Google und so weiter) ein Selbstzertifizierungsverfahren des US-Handelsministeriums durchlaufen. Verläuft dieses Verfahren erfolgreich, wird das Unternehmen auf der entsprechenden Liste des Data Privacy Framework (DPF) aufgenommen. Dieses Verfahren müssen alle auf der Liste befindlichen Konzerne zudem jedes Jahr aufs Neue durchlaufen.
Im Klartext bedeutet das für Websitebetreibende in der EU, dass sie US-Tools, wie beispielsweise Google Analytics zu Analysezwecken, YouTube oder auch das Amazon Partnerprogramm ab sofort wieder absolut rechtssicher verwenden dürfen. Auch andere Dienste wie etwa Skype, Google Fonts, WhatsApp, Facebook Pixel oder Instagram* können aktuell wieder problemlos genutzt werden. Alle diese Unternehmen beziehungsweise deren Dienste haben zum Zeitpunkt dieses Artikels die entsprechende Selbstzertifizierung erfolgreich durchlaufen.
Welche US-Tools sind zertifiziert?
Natürlich gehören die oben genannten Tools mit Abstand zu den beliebtesten unter Websitebetreibenden, doch es gibt logischerweise sehr viel mehr US-Dienste, die hierzulande genutzt werden. Wer sich nun fragt, ob auch das eigene bevorzugte Tool eine Selbstzertifizierung nach dem DPF Program durchlaufen hat und somit auf der Liste steht, kann das ganz einfach überprüfen. So ist die Zertifizierungsliste des DPF auf der Website des „Programms“ öffentlich zugänglich und kann gezielt nach Unternehmen durchsucht werden.
Steht das jeweilige Unternehmen beziehungsweise dessen Dienst auf der Liste, hat es eine Selbstzertifizierung und kann bedenkenlos sowie rechtssicher verwendet werden. Steht es hingegen (noch) nicht auf der Liste, ist der Einsatz nach wie vor rechtswidrig oder unterliegt zumindest zahlreichen weiteren datenschutzrechtlichen Bedingungen, die eingehalten werden müssen.
Die Einwilligung zur Datenübertragung muss weiterhin eingeholt werden
Auch wenn die nun erzielte Einigung sowie die damit verbundene Selbstzertifizierung nach dem Data Privacy Framework den Rechtsrahmen jetzt weitestgehend klärt und die Nutzung entsprechender US-Dienste nicht mehr grundsätzlich rechtswidrig ist, darf dies unter den Websitebetreibenden in der EU nicht als Freifahrtschein angesehen werden:
Die Einwilligung der Datenübertragung in die USA ist immer noch zwingend rechtlich vorgeschrieben! Dabei ist es im Übrigen vollkommen egal, ob das eingesetzte Tool wirklich aus den USA kommt oder nicht. Es reicht, wenn das dahinterstehende Unternehmen Daten dorthin übermittelt. Der Einsatz eines Cookie-Consent-Tools auf der eigenen Website ist daher weiterhin wichtig und sollte den Einsatz entsprechender Dienste mit einschließen.
» Tipp: Die besten Plug-ins für Datenschutz und Sicherheit (hier klicken)
Fazit: Wird jetzt wieder alles wie früher?
Der Privacy Shield 2.0 sorgt ganz sicher für ein gewisses Aufatmen unter Websitebetreibenden, weil zumindest die Unsicherheit erst einmal vorüber sein dürfte. Die Klarheit darüber, dass die entsprechenden US-Dienste – wenn diese auf der Liste des DPF Program stehen – grundsätzlich wieder problemlos eingesetzt werden dürfen, sorgt für eine gewisse Rechtssicherheit.
Dass jetzt alles wieder wie früher werden wird und alle Dienste sowie Tools uneingeschränkt eingesetzt werden können, bleibt aber wohl ein Traum. Zu viele Einschränkungen oder Hürden machen ein lückenloses und vor allem aussagekräftiges Tracking in vielerlei Hinsicht heutzutage kaum bis gar nicht mehr möglich.
Die Tatsache, dass trotz des DPF Program weiterhin die Einwilligung zur Datenübertragung aktiv eingeholt werden muss, bedeutet angesichts der immer weiter sinkenden Einwilligungsbereitschaft der Nutzerinnen und Nutzer, eigentlich keine echte Wende. Denn ob der grundsätzliche Einsatz solcher Tools jetzt wieder rechtssicher ist oder nicht: Wenn die Einwilligung nicht erteilt wird, ergibt der Einsatz immer weniger Sinn, weil vor allem die Daten aus Analysetools wie Google Analytics und Co dadurch immer weniger Aussagekraft haben.
Übrigens, wichtig: Dass auch Instagram auf der Selbstzertifizierungsliste des DPF Program steht, bedeutet nur, dass dessen Einsatz prinzipiell wieder rechtssicher ist. Auf die Abmahngefahr durch Instagram Reels hat das hingegen keinen Einfluss.
» Tipp: Mehr Infos zum neuen Privacy Shield 2.0 findest du hier (klicken)*